Как правильно работать с запросами субъектов персональных данных, часть 1

ПДн – персональные данные

В условиях строгих требований законодательства и повышенного внимания к защите персональных данных, эффективная обработка обращений (запросов, требований) субъектов персональных данных становится одним из важных элементов работы любой организации. Неправильная обработка запроса субъекта, или непринятие мер реагирования по ним, может повлечь привлечение оператора к административной ответственности по ч. ч. 4, 5, 5.1. ст. 13.11 КоАП РФ. Соответственно, возникает необходимость в четкой системе реагирования на такие запросы и требования.

В статье мы расскажем о различных видах обращений субъектов, правилах их рассмотрения, а также мерах реагирования, которые необходимо принимать операторам в связи с их поступлением. В первой части статьи речь пойдет о видах обращений и общих правилах обработки запросов.

Исходя из положений 152-ФЗ можно выделить основные виды обращений субъекта ПДн к операторам:

  1. Отзыв согласия на обработку ПДн (ч. 2 ст. 9 152-ФЗ);
  2. Запрос на получение информации, касающейся обработки ПДн (ч. 1 ст. 14 152-ФЗ);
  3. Требование об уточнении, блокировании или уничтожении ПДн (ч. 1 ст. 14 152-ФЗ);
  4. Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения (ч. ч. 12, 14 ст. 10.1 152-ФЗ)

Запросы субъектов могут носить смешанный характер.

Например, в своем обращении субъект персональных данных отзывает свое согласие на обработку ПДн и одновременно требует уничтожить отозванные ПДн.

К содержанию некоторых запросов законом о персональных данных установлены определенные требования.

Для запросов на получение информации, касающейся обработки ПДн, требовании об уточнении, блокировании или уничтожении ПДн, направляемых в рамках ч. 3 ст. 14 152-ФЗ, установлены требования по включению в них следующей информации:

  • Номер документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате его выдачи и выдавшем органе
  • Сведения, подтверждающие участие субъекта ПДн в отношениях с оператором или факт обработки ПДн оператором
  • Подпись субъекта ПДн или его представителя.

Требования о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения, должны включать согласно ч. 12 ст. 10.1 152-ФЗ:

  • Фамилию, имя, отчество (при наличии)
  • Контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных.
  • Перечень персональных данных, обработка которых подлежит прекращению.

В отношении других запросов и требований, строгих условий закон не устанавливает, но однозначно, что запрос должен быть сформулирован таким образом, чтобы оператор мог понять, кто именно к нему обращается, каким образом данный субъект связан с компанией, и какова цель обращения.

Субъект может обратиться к оператору различными способами: лично, почтовым отправлением, в форме электронного документа на электронную почту оператора, предложенным оператором способом (например, через личный кабинет) или иным другим способом.

Закон не ограничивает субъекта ПДн в выборе способа направления обращения, следовательно, оператор тоже не может препятствовать субъекту выбрать способ обращения.

Например, указать в политике, что обращения принимаются только через форму на сайте, а поступившие иным способом (почтой России, например) не будут рассматриваться.

Однако для более быстрого, удобного и эффективного решения возникших у субъекта вопросов в области ПДн, оператор может предложить субъекту способы взаимодействия, указав их, например, в Политике обработки ПДн.

Что можно предложить:

  • Форму заявления, не противоречащую ч. 3 ст. 14 152-ФЗ. Не нужно требовать безосновательно больше данных, чем предусмотрено данной нормой.

Например, среди обязательных требований к запросу по ч. 3 ст. 14 152-ФЗ нет адреса регистрации. Для обратного ответа субъект может указать только электронную почту или фактический адрес проживания. Если же оператор в форму заявления включит адрес регистрации в качестве обязательного для заполнения поля – могут быть претензии со стороны субъекта.

  • Способы направления заявления (можно выделить приоритетный способ взаимодействия).

Например: «Субъект может отозвать согласие на обработку ПДн путем предоставлением оператору по адресу его места нахождения подлинника такого отзыва или путем направления электронного документа (или скан-копии заявления) на адрес электронной почты …»

Указывая способ взаимодействия, нужно быть осторожными с формулировками и выстраивать их таким образом, чтобы они не были категоричными, бескомпромиссными и не могли быть расценены как ущемление прав субъектов ПДн.

Формулируйте именно как предложение, а не требование!

Следует помнить, что, если запрос субъекта поступил к вам не предложенным вами, а иным способом, это не может быть основанием для отказа в его рассмотрении.

Кто в компании занимается рассмотрением запросов субъектов?

В соответствии с п. 3 ч. 4 ст. 22.1 152-ФЗ обязанность организовывать прием и обработку обращений и запросов субъектов и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов возложена на ответственного за организацию обработки ПДн.

То есть, без ответственного не обойтись, но рассматривать запрос и готовить на него ответ может любой сотрудник, которому ближе суть запроса и который располагает необходимой информацией  – юрист, кадровик (если речь о запросах сотрудников по поводу обработки их ПДн), сотрудник клиентской службы (если запрос клиента касается конкретных аспектов, связанных с его деятельностью) и т. д.

В целях обеспечения эффективного реагирования на запросы субъектов ПДн, рекомендуется утвердить Правила (Инструкцию) рассмотрения запросов субъектов ПДн. Для формирования таких Правил удобно использовать шаблоны, предоставляемые сервисом 152DOC.

Правила могут включать в себя:

  • процедуру регистрации и учета запросов,
  • порядок рассмотрения запросов (определение ответственных лиц, сроков рассмотрения, уведомление субъекта ПДн о результатах рассмотрения) и т.д.

Эти правила необходимы для того, чтобы сотрудники имели четкое представление о процессе работы с запросами, могли оперативно и грамотно реагировать на них, исключая возможные ошибки и задержки. Правила устанавливают прозрачные процедуры ответа на запросы, сроки реагирования и обеспечивают их своевременную обработку в соответствии с требованиями законодательства.

Подводя итог первой части статьи, хочется подчеркнуть, что понимание этих аспектов не только способствует эффективной работе операторов, но и является основой для соблюдения законодательных норм и предотвращения юридических последствий.

В конце статьи делимся с вами примером Уведомления с отказом в отзыве ПДн, чтобы правильно работать с субъектами персональных данных.

Во второй части статьи мы более детально рассмотрим каждый тип запроса субъектов персональных данных и способы их обработки со стороны операторов.


Субъекту персональных данных:

____________________________________

____________________________________

____________________________________

(Ф.И.О.)

Адрес: ____________________________

____________________________________

Уведомление

Оператор персональных данных: ______________________________________, находящийся по адресу:

_______________________________________________________________________________________________________.

По Вашему запросу от: _____________________________________________________________________________

(дата запроса)

уведомляет Вас о невозможности принятия мер в связи с отзывом согласия на обработку персональных данных в следующих целях:

_______________________________________________________________________________________________________

Причина отказа: ____________________________________________________________________________________

(указывается на наличие условий обработки ПДн в соответствии с Федеральным законом «О персональных данных»)

Дата начала обработки персональных данных: __________________________________________________

Срок или условие прекращения обработки персональных данных:

______________________________________________________________________________________________________

___________________________    ______________     _____________________________________________________

(должность)                                        (подпись)                                                 (Ф.И.О.)

«         » __________ 20      г.


Шаблон уведомления на запрос субъекта ПДн доступен по ссылке

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять